-
Ajouter aux favoris
Qui suis-je ?
mardi 7 avril 2020
Les programmes malveillants ne sont pas uniquement les ransomwares à chiffrement, Trojans bancaires et miners ayant un jeu de fonctionnalités définies (lancement, exécution d'un code, obtention du résultat). Parfois, les attaquants ont besoin d'utiliser des logiciels afin d'imiter (émuler) le comportement d'un utilisateur.
L'émulation des actions de l'utilisateur est l'exécution d'une série d'actions similaires à celles d'un utilisateur ordinaire mais effectuées par un programme.
Ceci est fait pour qu'un observateur extérieur, ou un autre programme puisse considérer qu'il s'agit d'un être humain et non pas d'une imitation.
A quelles fins l’émulation est-elle utilisée ? Par exemple pour effectuer des transactions bancaires par le biais d'un système de banque en ligne, pour gonfler les compteurs des publicités sur les sites web ou bien pour attaquer des boutiques en ligne.
Les botnets AuthBot imitent les mouvements de la souris, effectuent des frappes clavier ou naviguent sur les pages web comme les utilisateurs réels.
[Les programmes malveillants sont conçus pour effectuer des attaques qui sont menées après l'authentification. Parmi ces types d'attaques on voit le parcing, cette technique est utilisée pour récolter des données pour une analyse ultérieure (web scraping), et la désorganisation du fonctionnement des boutiques en ligne (checkout abuse ou bien denial of inventory).
Par exemple, quelqu'un veut promouvoir un site dans les résultats des moteurs de recherche. Cela nécessite une activité soutenue des internautes sur ce site ou sa recherche très récurrente sur les moteurs.
Parmi les facteurs de classement de sites dans les principaux moteurs de recherche, il existe des facteurs comportementaux. Par exemple, le site Y est le septième dans les résultats des recherches selon la requête X. Si beaucoup d'utilisateurs cliquent sur la septième position et qu'ils restent sur le site correspondant au moins deux minutes, le moteur de recherche en conclut que le résultat " site Y " est le plus pertinent pour la requête en question.
ADRD imite un utilisateur intéressé qui entre une requête de recherche et clique ensuite sur certaine position et non pas sur la première, puis il « navigue soigneusement sur le site et finalement il augmente ainsi le critère lié à des facteurs comportementaux internes. »
Les moteurs de recherche, à leur tour, luttent activement contre une telle activité :
Pour promouvoir votre site, des services ou des programmes imitant les activité d’internautes ont été utilisés.
Il existe des programmes malveillants similaires qui s'appellent les clickers.
Le 8 août 2019 Doctor Web a signalé qu'un Trojan Clicker qui se trouvait sur Google Play été installé par presque 102 000 000 d'utilisateurs Android.
Les Trojans Clickers sont des programmes malveillants conçus pour gonfler le nombre de visites des sites web pour monétiser le trafic en ligne. Ils imitent les interactions des utilisateurs avec les pages Web en cliquant sur les liens et d'autres éléments.
Ce cheval de Troie représente un module malveillant connu selon la classification Dr.Web sous le nom de Android.Click.312.origin. Il est intégré à des applications ordinaires telles que des dictionnaires, cartes en ligne, lecteurs audio, scanner de codes-barres et d'autres applis. Tous ces programmes sont opérationnels et les utilisateurs d'appareils Android les considèrent comme inoffensifs. De plus, Android.Click.312.origin commence à être actif 8 heures après le lancement d'une application afin de ne pas éveiller les soupçons.
(nous sommes malheureusement dans l’impossibilité de mettre des liens en anglais pour ce paragraphe)
Installation de logiciel :
Le Trojan imite les actions de l'utilisateur afin de gagner de l'argent sur l'installation d’applis frauduleuses affichant des publicités ou d'autres malwares.
C'est un moyen très populaire de gain. Nous avons déjà décrit ce type de programmes :
Les analystes de Doctor Web ont détecté un Trojan ciblant les appareils mobile et qui s'insère dans le processus actif du Play Store et gonfle le compteur d'installations sur Google Play.
Il vole l’identificateur unique de l’appareil mobile et du compte de son propriétaire qui sont nécessaires lors de l'utilisation des services Google, les différents codes d’authentification permettant de se connecter au catalogue Google Play et d'autres données confidentielles.
En utilisant les données recueillies, Android.Skyfin.1.origin se connecte au catalogue Google PlayDirectory et imite le fonctionnement d'une application Play Store.
Il est intéressant de noter que non seulement les actions des utilisateurs sont imitées mais également celles des logiciels antivirus. Cela peut paraître hyper facile - il suffit d'écrire quelques chaînes de code et de pouvoir vendre " un antivirus rapide " via Google Play.
Compte tenu du fait qu'il existe une multitude d’antivirus, il est vraiment difficile de retenir leurs noms.
Donc, s'il y a un antivirus de plus, personne ne s’en apercevra.
En 2010, Google Inc. est venu à la conclusion que la moitié des logiciels malveillants provenant de la publicité sont des faux antivirus.
Peut-être que la moitié est une estimation un peu exagérée, mais de tels programmes existent, et ils sont considérés par les vrais antivirus comme malveillants.
#fraude #banque_contrefaite #psychologie #terminologie #vulnérabilité
Le projet Lumières sur la sécurité recommande
L'imitation des actions humaines peut être également utilisée dans la lutte contre les pirates. Il suffit de créer un serveur ou même d’imiter un réseau d'entreprise, et d'attendre les attaques. Ou bien, sur un forum, annoncer une vulnérabilité de ce réseau imité. Et pour paraître crédible, on peut simuler l'activité des utilisateurs : ouvrir et fermer des documents, lancer des programmes etc...
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Partagés 0 fois")
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
GREEN
08:31:53 2020-08-25
D'une part, l'imitation dans le cas de virus est nuisible, d'autre part, elle peut être utile ...
Vous ne devriez pas aller aux extrêmes.
"Qui sur cette terre sait ce qui est bien et mal"
Bernard
10:54:23 2020-04-21
Пaвeл
10:50:20 2020-04-21
VigenTests
12:05:11 2020-04-08
Le labo de DrWeb montre encore une fois qu'il est à la pointe de la détection des mécanismes de Malwares !!
Bernard
21:25:43 2020-04-07
La beauté d'une interface ou la promesse d'être le meilleur du monde comme affirmation doivent rendre prudents les internautes.
On ne le répétera jamais assez le premier rempart de la sécurité c'est l'attention que doit porter tout internaute à ce qu'il fait.L'antivirus est un bon allié mais il ne peut tout faire si l'internaute est imprudent.
Toma
20:53:15 2020-04-07
Masha
20:43:38 2020-04-07
EvgenyZ
20:32:06 2020-04-07
Шалтай Александр Болтай
20:19:23 2020-04-07
Татьяна
15:25:13 2020-04-07
Dmur
11:48:33 2020-04-07
Неуёмный Обыватель
10:05:49 2020-04-07
ka_s
09:16:36 2020-04-07
Пaвeл
09:08:57 2020-04-07